Η ViciousTrap εκμεταλλεύεται κενό ασφαλείας της Cisco για παγκόσμιο honeypot

Η αποκάλυψη της επίθεσης

Ερευνητές κυβερνοασφάλειας αποκάλυψαν ότι μια απειλητική οντότητα, με την κωδική ονομασία ViciousTrap, έχει παραβιάσει σχεδόν 5.300 μοναδικές συσκευές δικτύου άκρης σε 84 χώρες, μετατρέποντάς τες σε ένα δίκτυο τύπου honeypot. Η επίθεση αυτή εκμεταλλεύεται ένα κρίσιμο κενό ασφαλείας που επηρεάζει τους δρομολογητές Cisco Small Business RV016, RV042, RV042G, RV082, RV320 και RV325 (CVE-2023-20118), δημιουργώντας ένα σύνολο honeypots σε μαζική κλίμακα. Η πλειονότητα των μολύνσεων εντοπίζεται στο Μακάο, με 850 παραβιασμένες συσκευές.

Η τεχνική εκμετάλλευσης

Η αλυσίδα μόλυνσης περιλαμβάνει την εκτέλεση ενός shell script, γνωστού ως NetGhost, το οποίο ανακατευθύνει την εισερχόμενη κίνηση από συγκεκριμένες θύρες του παραβιασμένου δρομολογητή σε μια υποδομή τύπου honeypot υπό τον έλεγχο του επιτιθέμενου, επιτρέποντάς του να παρεμβάλλεται στις ροές δικτύου. Σύμφωνα με ανάλυση της Sekoia, η εκμετάλλευση του CVE-2023-20118 είχε προηγουμένως αποδοθεί σε άλλο botnet, το PolarEdge.

Συνδέσεις και υποθέσεις

Παρόλο που δεν υπάρχουν αποδείξεις ότι οι δύο αυτές δραστηριότητες συνδέονται, πιστεύεται ότι ο δράστης πίσω από τη ViciousTrap πιθανώς στήνει υποδομή honeypot παραβιάζοντας ένα ευρύ φάσμα εξοπλισμού που είναι προσβάσιμος από το διαδίκτυο, όπως δρομολογητές SOHO, SSL VPNs, DVRs και ελεγκτές BMC από περισσότερες από 50 μάρκες, όπως οι Araknis Networks, ASUS, D-Link, Linksys και QNAP.

Στρατηγική και στόχοι

Αυτή η ρύθμιση θα επιτρέψει στον δράστη να παρατηρεί προσπάθειες εκμετάλλευσης σε πολλαπλά περιβάλλοντα και ενδεχομένως να συλλέγει μη δημόσια ή zero-day exploits, καθώς και να επαναχρησιμοποιεί πρόσβαση που έχουν αποκτήσει άλλοι απειλητικοί παράγοντες. Η αλυσίδα επίθεσης περιλαμβάνει την εκμετάλλευση του CVE-2023-20118 για τη λήψη και εκτέλεση ενός bash script μέσω ftpget, το οποίο στη συνέχεια επικοινωνεί με έναν εξωτερικό διακομιστή για να κατεβάσει το binary wget. Στο επόμενο βήμα, το κενό της Cisco εκμεταλλεύεται ξανά, χρησιμοποιώντας το για την εκτέλεση ενός δεύτερου script που ανακτάται μέσω του προηγουμένως κατεβασμένου wget.

Η λειτουργία του NetGhost

Το δεύτερο στάδιο του shell script, γνωστό εσωτερικά ως NetGhost, έχει ρυθμιστεί να ανακατευθύνει την κίνηση δικτύου από το παραβιασμένο σύστημα σε τρίτη υποδομή που ελέγχεται από τον επιτιθέμενο, διευκολύνοντας επιθέσεις τύπου adversary-in-the-middle (AitM). Διαθέτει επίσης δυνατότητες να αφαιρείται από το παραβιασμένο σύστημα για να ελαχιστοποιεί τα ίχνη για εγκληματολογική ανάλυση.

Προέλευση και εξέλιξη της επίθεσης

Η Sekoia ανέφερε ότι όλες οι προσπάθειες εκμετάλλευσης προέρχονται από μία μοναδική διεύθυνση IP (“101.99.91[.]151”), με την πρώτη δραστηριότητα να χρονολογείται από τον Μάρτιο του 2025. Σε ένα αξιοσημείωτο γεγονός που παρατηρήθηκε ένα μήνα αργότερα, οι δράστες της ViciousTrap φέρονται να επαναχρησιμοποίησαν ένα undocumented web shell που είχε προηγουμένως χρησιμοποιηθεί σε επιθέσεις του botnet PolarEdge για τις δικές τους επιχειρήσεις.

Εκμετάλλευση και γεωγραφική κατανομή

Πρόσφατα, οι προσπάθειες εκμετάλλευσης στόχευσαν επίσης δρομολογητές ASUS, αλλά από διαφορετική διεύθυνση IP (“101.99.91[.]239”), αν και οι απειλητικοί παράγοντες δεν έχουν βρεθεί να δημιουργούν οποιοδήποτε honeypot στις μολυσμένες συσκευές. Όλες οι διευθύνσεις IP που χρησιμοποιούνται ενεργά στην καμπάνια βρίσκονται στη Μαλαισία και αποτελούν μέρος ενός Αυτόνομου Συστήματος (AS45839) που λειτουργεί από τον πάροχο φιλοξενίας Shinjiru.

Πιθανή προέλευση και τελικός στόχος

Ο δράστης πιστεύεται ότι είναι κινεζόφωνης καταγωγής, βάσει μιας αδύναμης επικάλυψης με την υποδομή GobRAT και του γεγονότος ότι η κίνηση ανακατευθύνεται σε πολλαπλά assets στην Ταϊβάν και τις Ηνωμένες Πολιτείες. Ο τελικός στόχος της ViciousTrap παραμένει ασαφής, αν και εκτιμάται με υψηλή βεβαιότητα ότι πρόκειται για ένα δίκτυο τύπου honeypot, σύμφωνα με την Sekoia.